UserGate сертификат ФСТЭК, ФСБ, лицензии и медиа-комплект

Если вам интересна экосистема UserGate и её возможности — читайте материал «Всё о UserGate».

Зачем средствам защиты нужна сертификация

Если решение сертифицировано, это означает, что оно соответствует нормативным требованиям и стандартам инфобезопасности. Сертификат соответствия  выдают UserGate  и другим вендорам органы, уполномоченные государством: ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ России.

Основные стандарты и требования в области IT:

• ГОСТ Р 57580.x (защита информации)
• Федеральный закон №152-ФЗ (о персональных данных)
• Приказы и постановления ФСТЭК и ФСБ России

Компания, в нашем случае это UserGate, подтверждает сертификатом, что ее продукция прошла тестирование, проверку на предмет наличия уязвимостей, надёжности. Способна обеспечивать требуемый уровень защиты.

Когда сертификация обязательна

Госкомпаниям сертификация СЗИ нужна для выполнения обязательных требований законов (№152-ФЗ, №187-ФЗ, №149-ФЗ), защиты персональных данных, КИИ и успешного прохождения проверок ФСТЭК, ФСБ, Роскомнадзора.

Обязательно использовать сертифицированные СЗИ должны следующие организации.

Операторы КИИ (энергетика, транспорт, связь, здравоохранение, банки и др.) обязаны использовать СЗИ, прошедшие оценку соответствия, сертифицированные по требованиям ФСТЭК и/или ФСБ. Конкретный состав СЗИ и требования зависят от категории значимости объекта (I, II, III), определённой по №87-ФЗ и подзаконным актам. ФСТЭК проверяет выполнение этих требований в ходе проверок.

Работа с персональными данными (№52-ФЗ):

• требуются сертифицированные средства защиты (ФСТЭК, при криптографии — ФСБ)
• обычно применяются межсетевой экран, СЗИ от НСД, антивирус, средства аудита
• требования фиксируются в модели угроз и политике безопасности

Коммерческим организациям СЗИ, одобренные регулятором, формально не требуются, если они не работают с КИИ, ГИС или ПДн. Но может пригодиться:

• при участии в тендерах
• в договорах с крупными заказчиками
• для минимизации рисков при проверках и инцидентах

Сертификат ФСТЭК у UserGate

Продукты вендора допущены к использованию в системах, где требуется официальное подтверждение уровня безопасности. Расскажем о подтверждённом соответствии и составе модулей, прошедших официальную проверку.

Номер сертификата

Основной сертификат UserGate выдан ФСТЭК России — № 3905 от 26.03.2018 г., продлён, действует до 26.03.2026 г.

Ссылки на источники:

• Государственный реестр
• Wikisec
• Вендор о соответствии регламентам

Какие модули входят в сертифицированную версию

Обратите внимание: обычный функционал ничем не отличается от версии ФСТЭК. Различие только в том, что для варианта, включённого в область оценки ФСТЭК, официально подтверждено соответствие требованиям безопасности. Это важно при работе в зонах регулирования — например, в КИИ, ИСПДн или ГИС.

Также в сертифицированную поставку входит медиа-комплект.

UG-MP-FSTEC — это официальный электронный документ, который подтверждает сертификацию конкретной версии программного продукта. Это по сути контрольный пакет информации для регулятора и заказчика для идентификации удостоверенного выпуска.

Почему он необходим

Использование медиа-комплекта UserGate ФСТЭК — обязательное условие правильной эксплуатации сертифицированной версии. Без него невозможно подтвердить, что используется именно та версия ПО, которая прошла оценку соответствия. Это юридически значимый документ, подписанный электронной подписью.

Где его получить

Медиа-комплект UserGate предоставляется:

• вместе с поставкой одобренной регулятором версии продукта
• по запросу у официальных партнёров или непосредственно у производителя

Передаётся в виде электронного файла, сопровождаемого ЭЦП.

Что входит

В отличие от распространённого заблуждения, медиа-комплекта UserGate ФСТЭК не содержит ISO-образов, инструкций, прошивок и дистрибутивов. Он включает:

• описание версии программного обеспечения
• перечень проверенных компонентов
• электронные подписи для подтверждения подлинности

Таком образом, медиа-комплект необходим для подтверждения подлинности используемой версии при проверках со стороны ФСТЭК и соблюдения условий разрешенной эксплуатации.

Сертификация ФСБ у UserGate: есть или нет

У UserGate нет сертификата ФСБ России на криптографические функции.

Почему это не всегда требуется

Разрешение ФСБ требуется, когда защита строится на российской криптографии:

• использует собственные криптографические алгоритмы
• обеспечивает криптографическую защиту каналов связи (например, VPN с ГОСТ-криптографией)
• шифрует хранимую информацию с использованием отечественных СКЗИ

Криптографические функции в продукте присутствуют — поддерживается IPSec VPN, но для получения лицензии ФСБ требуется реализация ГОСТ VPN, которого в решении нет.

Основной функционал защиты реализован на сетевом уровне: фильтрация трафика, контроль доступа, IDS/IPS, web-фильтрация, аудит безопасности. Этого достаточно для выполнения требований службы по техническому и экспортному контролю. Поэтому в большинстве проектов UserGate сертификаты ФСБ не нужны.

Где подходит и где не применяется UserGate

Решение помогает закрыть ключевые требования безопасности в организациях, где высокие требования к кибербезопасности:

• защита периметра сети (NGFW)
• выполнение требований ФСТЭК (ГИС, ИСПДн, АСУ ТП, КИИ)
• фильтрация трафика, обнаружение атак
• контроль приложений и пользователей

UserGate без сертификата ФСБ неприменим там, где строго обязательна сертифицированная криптография:

• защита гостайны (ГТ)
• шифрование каналов связи по ГОСТ
• использование отечественных СКЗИ (по приказу ФСБ № 378)

Частые вопросы по сертификации

Можно ли использовать решения вендора без сертификата ФСБ?
Да, если в системе не требуется сертифицированная криптография (например, нет необходимости в ГОСТ VPN или защите гостайны). Для ИСПДн, ГИС, КИИ и АСУ ТП в большинстве случаев достаточно сертификации ФСТЭК.

Нужно ли покупать медиа-комплект отдельно?
Нет. Медиа-комплект предоставляется вместе с поставкой сертифицированной версии или по запросу у партнёров.

Можно ли использовать обычную версию в системах, где требуется сертификация?
Нет. Для соблюдения требований регуляторов необходимо использовать именно сертифицированную версию из медиа-комплекта, так как только она прошла официальную оценку соответствия.

Как проверить актуальность сертификата?
Через официальный реестр сертифицированных средств защиты на сайте ФСТЭК России: fstec.ru.

Главное

UserGate с лицензией ФСТЭК — сертифицированное средство защиты информации, подходит для решения основных задач кибербезопасности в государственных и коммерческих системах.

Подходит ли UserGate для защиты информации

Да — если задачи связаны с защитой сетевого периметра, фильтрацией трафика, контролем доступа, обнаружением атак и выполнением требований госрегуляторов.

Решения вендора успешно применяется в ГИС, ИСПДн, КИИ, АСУ ТП — там, где не требуется обязательное одобрение криптографии по ГОСТ.

Какие сертификаты есть у UserGate:

• Сертификат ФСТЭК России № 3905 (действует до 2026 года).
• Внесение в Единый реестр российского ПО.
• Аппаратные платформы внесены в реестр радиоэлектронной продукции Минпромторга РФ.
• Сертификата ФСБ нет — криптографические функции в продукте есть, но они не сертифицированы по требованиям ФСБ.

Где и как уточнять актуальность:

• Официальный сайт вендора
• Перечень сертифицированных СЗИ на сайте ФСТЭК
• У официальных партнеров UserGate.

Сертификаты UserGate: соответствие регламентам ФСТЭК и ФСБ:

• Требования ФСТЭК — выполняются (сертификат № 3905).
• Требования ФСБ — не распространяются, так как в сертифицированной версии отсутствует собственная криптография.